Microsoft ได้เปิดตัว Publish API สำหรับนักพัฒนา Edge extension เวอร์ชันอัปเดต ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีนักพัฒนา และการอัปเดต extension ของเบราว์เซอร์
เมื่อมีการเผยแพร่ extension เบราว์เซอร์ใน Microsoft Edge ใหม่เป็นครั้งแรก นักพัฒนาจะต้องส่ง extension ดังกล่าวผ่าน Partner Center เมื่อได้รับการอนุมัติแล้ว การอัปเดตจะดำเนินการผ่าน Partner Center หรือ Publish API
ในส่วนของ Microsoft's Secure Future Initiative ทาง Microsoft กำลังเพิ่มระดับความปลอดภัยให้กับกลุ่มผลิตภัณฑ์ทั้งหมด รวมทั้งกระบวนการ browser extension publishing เพื่อป้องกันไม่ให้ extensions ถูกฝังด้วยโค้ดที่เป็นอันตราย
โดย Publish API ใหม่ที่เป็นความลับจะถูกสร้างเป็นคีย์ API แบบไดนามิกสำหรับนักพัฒนาแต่ละคน ซึ่งช่วยลดความเสี่ยงที่ข้อมูล static credentials จะถูกเปิดเผยภายในโค้ด หรือถูกการละเมิดอื่น ๆ
ขณะนี้ API keys เหล่านี้จะถูกเก็บไว้ในฐานข้อมูลของ Microsoft ในรูปแบบ hashes แทนที่จะเป็น keys โดยตรง ซึ่งจะช่วยป้องกันไม่ให้ API keys รั่วไหลได้
เพื่อเพิ่มความปลอดภัยให้มากขึ้น access token URLs จะถูกสร้างขึ้นมา และไม่จำเป็นต้องมีการส่งข้อมูลออกไป ในกรณีที่นักพัฒนามีการอัปเดต extension วิธีนี้ช่วยเพิ่มความปลอดภัย โดยมีการจำกัดความเสี่ยงในการเปิดเผย URL ซึ่งอาจใช้ในการส่งการอัปเดต extension ที่เป็นอันตราย
API ที่มีการเผยแพร่ใหม่นี้ keys จะหมดอายุ ภายใน 72 วัน และเมื่อเทียบกับ 2 ปีก่อนหน้านี้ การ Rotating secrets บ่อยขึ้น จะป้องกันไม่ให้มีการใช้งานในทางที่ผิดในกรณีที่ข้อมูลจะถูกเปิดเผย
นักพัฒนา Edge สามารถลองใช้การจัดการ API key ตัวใหม่ใน Partner Center dashboard ของตนเองได้
ซึ่งนักพัฒนาจะต้องสร้าง ClientId และ secrets รวมไปถึงกำหนดค่าไปป์ไลน์ CI/CD ที่มีอยู่ใหม่
นักพัฒนาซอฟต์แวร์มักตกเป็นเป้าหมายของการโจมตีแบบฟิชชิง และการโจมตีด้วยมัลแวร์เพื่อขโมยข้อมูล credentials อยู่เสมอ
โดยข้อมูล credentials เหล่านี้จะถูกนำไปใช้เพื่อขโมยโค้ดต้นฉบับ หรือเพื่อโจมตีกระบวนการทำงานของระบบ
ในขณะนี้ทาง Microsoft กำลังจัดระเบียบ process ใหม่ในรูปแบบ opt-in เพื่อลดการหยุดชะงักในการย้ายไปใช้ Publish API ใหม่ แต่คงไม่น่าแปลกใจหาก Publish API ที่อัปเดตจะกลายเป็นระบบบังคับในอนาคต
Microsoft ระบุว่า เพื่อลดการหยุดชะงักในการย้ายไปยัง Publish API ใหม่ จำเป็นต้องมีการทำ opt-in experience ซึ่งจะช่วยให้สามารถเปลี่ยนไปใช้ new experience ของตนเองได้
หากจำเป็น ผู้ใช้ยังสามารถยกเลิก และกลับไปใช้วิธีการแบบเดิมได้ แม้ว่าจะมีการสนับสนุนให้ผู้พัฒนาเปลี่ยนไปใช้วิธีการใหม่เนื่องจากมีความปลอดภัยมากกว่าก็ตาม
การปรับปรุงด้านความปลอดภัยที่มาพร้อมกับ Publish API ใหม่จะช่วยป้องกัน extension ของผู้ใช้ และเสริมประสิทธิภาพของกระบวนการทำงานมากขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.